Focus 인사이드
![공군 제18전투비행단 컴퓨터 침해사고 대응반(CERT) 장병들이 지난 2월 상황실에서 해킹 메일 신고 현황을 살펴보고 있다. [사진 공군 제18전투비행단 제공=연합뉴스]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201805/22/1a3c24f3-151e-4c0f-bd20-7f503eb7651b.jpg)
공군 제18전투비행단 컴퓨터 침해사고 대응반(CERT) 장병들이 지난 2월 상황실에서 해킹 메일 신고 현황을 살펴보고 있다. [사진 공군 제18전투비행단 제공=연합뉴스]
사이버옵션을 국가차원에서 다양하게 활용하고 있는 나라가 바로 북한이다. 북한은 엄청난 비용을 들여 더 향상된 무기체계를 개발ㆍ보유하기보다는 사이버공격으로 우리 무기체계를 무력화할 공산이 크다. 북한은 이미 우리 국방망을 뚫었고 방산기업을 해킹해 작전계획은 물론 무기체계의 취약점을 파악할 수 있는 핵심 자료들을 훔쳐갔다.
그런 북한이 2018년 4월 경제ㆍ핵무력 건설 병진노선을 끝내고 경제건설에 총력을 집중한다는 노선을 채택했다. 김정은 국무위원장은 핵실험과 미사일 시험발사 중단을 선언하고 핵실험장 폐기에 들어갔다. 판문점 선언(4월 27일)에서 남과 북은 지상과 해상, 공중을 비롯한 모든 공간에서 군사적 긴장과 충돌의 근원이 되는 일체의 적대행위를 전면 중지하기로 했다.
![지난달 27일 오후 문재인 대통령과 김정은 국무위원장이 판문점 평화의 집 앞마당에서 '판문점 선언' 발표를 마친 뒤 악수하고 있다. [사진 판문점=한국공동사진기자단]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201805/22/853828db-a179-4752-9b25-202e97704011.jpg)
지난달 27일 오후 문재인 대통령과 김정은 국무위원장이 판문점 평화의 집 앞마당에서 '판문점 선언' 발표를 마친 뒤 악수하고 있다. [사진 판문점=한국공동사진기자단]
선언문에서 말하는 ‘모든 공간’에 사이버공간이 포함돼야 한다는 게 일반적인 해석이다. 보안업계에선 그동안 끊이지 않았던 북한의 사이버도발이 남북정상회담과 북미정상회담으로 이어지는 화해 분위기에 힘입어 점차 줄어들 것으로 기대했다. 북한의 노골적인 사이버공격이 자칫 남북정상회담 결과를 퇴색시킬 수 있고, 그동안 사이버도발을 진두지휘해 온 김영철 통일전선부장(전 정찰총국장)이 회담에 배석했기 때문이다.
하지만 북한의 대남 사이버공격 시도는 여전하다. 라자루스 그룹(Lazarus Group) 혹은 히든 코브라(Hidden Gobra)로 불리는 북한의 사이버조직이 한국소비자원을 비롯해 공정거래위원회 산하기관들의 웹사이트를 공격한 정황이 탐지됐다. 해커들은 한국소비자원을 대상으로 2017년 12월과 2018년 4월부터 판문점선언 이후인 5월 2일까지 무차별 접근이 이뤄졌다. 한국공정거래조정원도 2018년 4~5월에 세 차례 공격을 당했다. 이는 밝혀진 일례에 불과하고 수많은 기관들이 공격을 당해 기밀이 유출돼도 모르는 경우가 허다하다.
최근 들어 북한은 뚜렷한 실리적 이익을 가져올 수 있는 사이버첩보활동에 매진하고 있다. ▷군사ㆍ전략적으로 국방과 방산기업에 대한 군사기밀 절취 ▷정치ㆍ외교적으로 탈북자를 포함해 한반도 정세와 관련한 정보수집 ▷경제적으로 외화벌이를 위해 금융기관과 가상통화거래소ㆍ고객들을 공략하고 있다.
![김영운 경찰청 사이버수사팀장이 지난해 9월 오전 서울 서대문구 경찰청에서 최근 발생한 국내 비트코인 거래소 상대 악성메일 유포사건을 시연하고 있다. 수사 결과 북한 소행임을 확인하였다'며 '금융기관 등을 사칭해 국내 비트코인 거래소 4개 업체 직원 등 25명에게 악성프로그램이 첨부된 전자우편을 발송해 해킹을 시도했다'고 밝혔다. [사진 뉴스1]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201805/22/bc4ff394-623d-47cd-874e-2069f0ce27bc.jpg)
김영운 경찰청 사이버수사팀장이 지난해 9월 오전 서울 서대문구 경찰청에서 최근 발생한 국내 비트코인 거래소 상대 악성메일 유포사건을 시연하고 있다. 수사 결과 북한 소행임을 확인하였다'며 '금융기관 등을 사칭해 국내 비트코인 거래소 4개 업체 직원 등 25명에게 악성프로그램이 첨부된 전자우편을 발송해 해킹을 시도했다'고 밝혔다. [사진 뉴스1]
그런데 한국소비자원이나 공정거래조정원을 타깃으로 여러 차례 공격을 시도한 이유는 무엇일까. 이들 기관의 취약한 서버를 확보해 교두보(botnet)를 구축한 후 공공기관을 사칭해 다른 표적을 공격하기 위한 것으로 보인다. 앞으로 북한 해커들은 공격주체를 식별할 수 없도록 흔적을 지우고 추적을 따돌리는 은폐기술을 고도화할 것이다.
히든코브라는 2017년 5월 전 세계를 강타한 랜섬웨어 ‘워너크라이’ 사태를 일으킨 배후로 지목된 북한의 사이버조직으로 방글라데시 중앙은행 해킹, 미국 연방준비제도이사회(FRB) 해킹 등 지구촌을 떠들썩하게 만든 수많은 사이버공격과 관련이 있다. 미 국토안보부(DHS)와 연방수사국(FBI)은 2017년 6월 히든코브라에 대한 공식 경보를 발령했고, 2018년 2월에도 히든코브라의 사이버공격에 대한 경보를 발령했다.
2018년 5월 지나 해스펠 미 중앙정보국(CIA)장 내정자는 인사청문회에서 “러시아ㆍ중국ㆍ이란ㆍ북한 등은 굉장히 공격적인 사이버활동을 펼치고 있다“고 밝혔다. ”북한은 사이버활동을 통해 국가기밀을 훔치고 불법적인 금전을 벌어들이고 있어, 이에 대한 경계심을 늦추지 말아야 한다”고 강조했다. 2018년 4월 롭 조이스 전 백악관 사이버안보조정관도 ”북미 대화가 실패할 경우 북한이 미국의 주요기반시설에 사이버공격을 할 수 있다“고 지적했다.
![지난 1일 오후 국군장병들이 '판문점 선언' 후속조치 첫 단계로 경기도 파주시 군사분계선(MDL) 교하소초에 설치된 대북 고정형 확성기 철거작업을 하고 있다. [사진 파주=사진공동취재단]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201805/22/f5cf862f-7168-46e9-818d-2af0f1046177.jpg)
지난 1일 오후 국군장병들이 '판문점 선언' 후속조치 첫 단계로 경기도 파주시 군사분계선(MDL) 교하소초에 설치된 대북 고정형 확성기 철거작업을 하고 있다. [사진 파주=사진공동취재단]
북미회담 진행과정에 따라 북한의 적대적인 사이버공격 시도는 줄어들 수 있겠지만 사이버첩보활동은 더욱 은밀하고 광범위하게 진행될 것이다. 북한은 지난해부터 사이버활동 반경을 한국에서 일본ㆍ베트남ㆍ중동 등으로 넓혔고 공격대상도 화학ㆍ전자ㆍ제조ㆍ항공우주ㆍ자동차산업 등으로 확대하고 있다.
수틀리면 언제든 판을 깨고 사이버폭탄을 퍼부을 수 있는 게 북한이다. 우리는 북한의 다양한 사이버무력 도발 가능성과 최악의 시나리오를 염두에 두고 억지ㆍ대응전략을 세워야 한다. 한반도에서의 적대관계가 평화관계로 전환되더라도 자주적인 사이버대응태세는 갈수록 중요해질 수밖에 없다. 사이버전장에서의 긴장은 지금부터다.
손영동 한양대학교 교수
